review-security

인증/인가 구현, API 추가, 사용자 입력 처리, 배포 전 검토 시 proactively 사용. OWASP Top 10, credential 노출, injection을 점검합니다. (user)

$ インストール

git clone https://github.com/ssiumha/dots /tmp/dots && cp -r /tmp/dots/prompts/skills/review-security ~/.claude/skills/dots

// tip: Run this command in your terminal to install the skill

SKILL.md

View on GitHub →

name: review-security description: 인증/인가 구현, API 추가, 사용자 입력 처리, 배포 전 검토 시 proactively 사용. OWASP Top 10, credential 노출, injection을 점검합니다. (user)

Security Review

코드 변경사항을 보안 관점에서 체크하는 전문 리뷰 스킬입니다.

Instructions

리뷰 범위 결정

사용자 요청에 따라 워크플로우 선택:

변경된 파일만 리뷰 (기본) - Git diff 기반
특정 파일/디렉토리 리뷰 - 사용자 지정 경로
전체 프로젝트 스캔 - 초기 설정, 정기 감사

Workflow 1: 변경된 파일 보안 리뷰 (기본)

git diff --name-only HEAD로 변경 파일 확인
코드 파일 필터링 (.js, .ts, .py, .go 등)
각 파일 Read → 보안 체크리스트 적용
심각도별 리포트 생성

Workflow 2: 특정 파일/디렉토리 리뷰

Glob으로 대상 파일 확인
각 파일 Read → 보안 체크리스트 적용
리포트 생성

Workflow 3: 전체 프로젝트 스캔

우선순위 디렉토리 결정: auth/, api/, config/
순차 리뷰, 심각한 이슈 즉시 보고
종합 리포트

보안 체크리스트

상세 패턴은 resources/ 참조:

심각도	항목	참조
Critical	Hardcoded Credentials, SQL Injection, XSS, SSRF, Command Injection, Path Traversal	`01-critical-patterns.md`
High	CSRF, File Upload, Deserialization, Weak Crypto, JWT, Mass Assignment, Open Redirect	`02-high-patterns.md`
Medium	HTTPS, Error Exposure, Rate Limiting, Cookie Settings, Input Validation, XXE	`03-medium-low-patterns.md`
Low	CORS, Security Headers, Server Banner, Dependencies	`03-medium-low-patterns.md`

Secret 탐지

서비스별 API 키 패턴: 04-secret-patterns.md

서비스	패턴 예시
AWS	`AKIA[0-9A-Z]{16}`
GitHub	`ghp_[A-Za-z0-9]{36}`
OpenAI	`sk-[A-Za-z0-9]{48}`, `sk-proj-[A-Za-z0-9-_]{48,}`
Anthropic	`sk-ant-[A-Za-z0-9-_]{95}`
Stripe	`sk_live_[0-9a-zA-Z]{24,}`

AI 생성 코드 주의점

05-ai-code-security.md 참조:

빈 catch 블록
입력 검증 누락
하드코딩된 설정값
오래된 API 사용

외부 도구 연동

06-tool-integration.md 참조:

# Semgrep (권장)
semgrep --config=p/owasp-top-ten .

# Secret scanning
gitleaks detect --source .

# Dependency check
npm audit  # Node.js
pip-audit  # Python

언어별 특화 패턴

07-language-specific.md 참조:

언어	주요 위험
Python	pickle, eval, shell=True
JavaScript	XSS, prototype pollution
Go	text/template, SQL concat
Rust	unsafe blocks, unwrap
Java	deserialization, XXE

리포트 형식

# Security Review Report

**Date:** YYYY-MM-DD
**Files:** N files
**Issues:** X Critical, Y High, Z Medium, W Low

---

## Critical Issues

### 1. [Issue Title]
**File:** `path/file.ts:42`
**Description:** ...
**Code:** `...`
**Fix:** ...
**Reference:** [OWASP Link]

---

## Summary
- Good practices: [list]
- Areas needing attention: [list]

중요 원칙

False Positive 최소화: 확실한 이슈만 보고
Context 고려: 테스트 코드는 완화된 기준
구체적 제안: "어떻게 고치는지" 제시
OWASP 참조: 공식 문서 링크 제공
긍정적 피드백: 잘한 부분도 언급

OWASP Top 10 (2021)

Broken Access Control
Cryptographic Failures
Injection
Insecure Design
Security Misconfiguration
Vulnerable Components
Authentication Failures
Data Integrity Failures
Logging Failures
Server-Side Request Forgery (SSRF)